Die Blockchain-Analysefirma Chainalysis veröffentlichte am 9. Juni einen Bericht, in dem sie dokumentiert, dass in der Zeit von Januar bis Mai mindestens 36,70 Millionen US-Dollar aus Protokollen gestohlen wurden, deren ursprünglicher Code niemals in einem Blockexplorer zur Authentifizierung öffentlich verifiziert worden war. Betroffen waren 4 Angriffe und 5 Protokolle; in allen Fällen fanden die Angreifer die Schwachstellen, indem sie den Original-Bytecode dekodierten (nicht indem sie den öffentlich einsehbaren Originalcode lasen).
Vier Angriffsfälle: Verlustbeträge, Daten und bestätigter Schwachstelltyp
Laut dem Chainalysis-Bericht sind die bestätigten Daten der fünf angegriffenen Protokolle wie folgt:
Truebit: 26,20 Millionen US-Dollar, am 8. Januar 2026, auf Ethereum; Integer-Overflow in der Funktion getPurchasePrice() (Solidity v0,5.3; diese Version verfügt über keinen automatischen Overflow-Schutz)
Trusted Volumes: 5,90 Millionen US-Dollar, am 7. Mai 2026, auf Ethereum; Zugriffssteuerungs-Schwachstelle im RFQ-Exchange-Proxy-Code
Aperture Finance: 3,20 Millionen US-Dollar, am 25. Januar 2026, auf Ethereum; Umgehung der Eingabeprüfung über transferFrom
(Quelle: Chainalysis)
Ekubo: 1,40 Millionen US-Dollar, am 5. Mai 2026, auf Ethereum; nicht verifizierte Identität des Zahlers in der Rückabwicklungs-Logik
Chainalysis bestätigt, dass die zugehörigen Verträge aller oben genannten Protokolle zum Zeitpunkt der Angriffe weder auf Etherscan noch in anderen Blockexplorern verifiziert waren und zudem kein öffentlich zugeordnetes Quellcode-Material vorlag.
Truebit: Fall-Details — Deploy seit 2021, On-Chain-Indikatoren zeigen systematisches Angriffsverhalten
Die Reactor-Diagramm-Analyse von Chainalysis zeigt, dass die Angreiferadresse hinter dem Truebit-Angriff (8. Januar 2026, Verlust 26,20 Millionen US-Dollar) zwölf Tage zuvor bereits 5 ETH aus dem Sparkle-Protokoll gestohlen hatte.
Der Bericht bestätigt, dass die Adresse systematisch Schwachstellen in bereits verifizierten und nicht verifizierten Verträgen suchte, sich von anfänglichen kleinen Zielen Schritt für Schritt bis hin zu einem finalen groß angelegten Angriff steigerte; die aus beiden Angriffen erhaltenen Gelder wurden jeweils über Tornado Cash gewaschen. Der angegriffene Truebit-Vertrag wurde seit 2021 auf Ethereum eingesetzt und wurde nie in Etherscan hinsichtlich des Originalcodes verifiziert.
Drei Sicherheitslücken in nicht verifizierten Verträgen: Chainalysis nennt Mechanismen, bei denen der Schutz versagt
Chainalysis bestätigt, dass bei der Auswahl eines geschlossenen Deployments folgende drei traditionellen Sicherheitsebenen gleichzeitig unwirksam werden:
Das Scheitern der Prüfung durch White-Hat-Researcher: Ohne öffentlich lesbaren Quellcode können Sicherheitsforscher Schwachstellen nicht identifizieren und melden
Ausschluss durch Bug-Bounty-Programme: Nicht verifizierte Verträge werden häufig von gängigen Bug-Bounty-Programmen explizit ausgenommen
Scheitern durch Community-getriebenes Reporting: In einer offenen Prüf-Umgebung ohne Quellcode kann die Community Sicherheitsprobleme nicht proaktiv erkennen
Chainalysis bestätigt, dass für Protokolle mit nicht verifizierten Verträgen On-Chain-Überwachung in Echtzeit derzeit das einzige Schutzmittel ist, das die oben genannten Ausfallmechanismen ersetzen kann.
Häufige Fragen
Was ist der zentrale Sicherheitsunterschied zwischen nicht verifizierten Smart Contracts und verifizierten Contracts?
Bei verifizierten Verträgen ist der Quellcode in Blockexplorern wie Etherscan öffentlich einsehbar, sodass Sicherheitsforscher Schwachstellen direkt erkennen und melden können. Nicht verifizierte Verträge veröffentlichen nur den kompilierten Bytecode; Sicherheitsforscher und Angreifer müssen daher mithilfe von Dekompilier-Tools eine Reverse-Engineering-Analyse durchführen. Zudem werden nicht verifizierte Verträge in der Regel aus gängigen Bug-Bounty-Programmen ausgeschlossen.
Wie lässt sich der von Chainalysis dokumentierte Diebstahl von 36,70 Millionen US-Dollar im Vergleich zur gesamten DeFi-Diebstahl-Lage einordnen?
Laut dem Chainalysis-Bericht ist der Wert von 36,70 Millionen US-Dollar eine eigenständige Unterkategorie unter den insgesamt über 1 Milliarde US-Dollar Verlusten, die DeFiLlama im selben Zeitraum bei 88 DeFi-Protokollen erfasst hat. Die meisten angegriffenen Protokolle, die von DeFiLlama erfasst wurden, verfügen über verifizierte Smart Contracts; Angriffe auf nicht verifizierte Verträge bilden hingegen ein einzigartiges Angriffsmuster und sollten nicht direkt mit breiteren DeFi-Sicherheitsstatistiken verglichen werden.
Welche konkreten Sicherheitsempfehlungen gibt Chainalysis für Protokolle mit nicht verifizierten Verträgen?
Die einzige konkrete Empfehlung, die der Chainalysis-Bericht bestätigt, ist die Bereitstellung einer On-Chain-Überwachung in Echtzeit, um die Ausfallfunktion traditioneller Sicherheits-Ökosysteme bei nicht verifizierten Verträgen zu ersetzen. Der Bericht nennt keine konkreten Empfehlungen zu Überwachungstools, keine Umsetzungsstandards und keinen Zeitplan für die Einführung.
